CobiT- Systemsicherheitsprozess

		INFO & WISSEN

Die Steuerung der Systemsicherheit soll Informationen gegenüber unberechtigter Benutzung, Offenlegung, bzw. Veränderung, Verlust oder Schaden schützen.

Die Steuerung dieses Prozesses basiert primär auf Vertraulichkeit und Integrität, und kann anhand der Schlüsselziele bewertet werden und durch die Leistungsindikatoren einem Vergleich unterzogen werden. Die Umsetzung erfolgt primär durch Zugriffskontrollen auf Systeme, Daten und Programmen für authentifizierte dafür autorisierte Anwender, wobei Erfolgsfaktoren berücksichtigt werden müssen.

Schlüsselziele des Managements

	Vorfälle sorgen nicht für öffentlichen Imageverlust
	Sicherheitsvorfälle werden sofort gemeldet
	Zugriffsrechte korrelieren mit zugeordneter Verantwortung
	Verzögerungen für neue Anwendungen aufgrund Sicherheitsbedenken sind auf ein Minimum reduziert
	Volle Einhaltung, bzw. vereinbarte und aufgezeichnete Abweichung von Sicherheitsanforderungen
	Anzahl der Vorfälle durch unberechtigten Zugriff, Verlust oder Kompromittierung von Informationen

Leistungsindikatoren

	Anzahl der i. w. S. mit Sicherheit zusammenhängenden Supporttätigkeiten (Anrufe), Änderungsaufträge und Fixes
	Ausfallzeiten durch Sicherheitsvorfälle
	reduzierte Zeitaufwendungen für bestimmte Tätigkeiten der Sicherheitsadministration
	Anzahl der Systeme mit Eindringungsüberwachung (mit oder ohne IDS)
	Anzahl der Systeme mit permanenter und aktiver Überwachung
	Zeit für Untersuchung von Sicherheitsvorfällen
	Zeit zwischen Entdeckung, Bericht und dem Setzen von Maßnahmen
	Anzahl der Tage für Security Awareness-Training

kritische Erfolgsfaktoren

	Es gibt einen übergreifenden Sicherheitsplan der die Etablierung von Standards und Richtlinien, zukunftssichere und kosteneffiziente Umsetzungen, Aufbau von Sicherheitsbewusstsein sowie Überwachungs- und Durchsetzungsprozesse umfasst.
	Das Bewusstsein, dass Sicherheit ein permanenter Prozess ist und effektive Umsetzung Zeit benötigt, ist vorhanden
	Die Sicherheitsverantwortung ist definiert, die Mitarbeiter sind sich der Anforderungen, Bedrohungen und der eigenen Verantwortung bewusst.
	Es gibt regelmäßige externe Prüfungen, sowie grundlegende Sicherheitsanforderungen an die sich gehalten werden muss, werden permanent definiert,
	Eine Sicherheitsausbildung und -prüfungen für Entwickler, Administratoren und Anwender eines Systems ist verpflichtend.
	Sicherheitsverantwortliche haben Mittel und Möglichkeiten Vorfälle zu entdecken, aufzuzeichnen, zu analysieren und zu handeln, während sie die Wahrscheinlichkeit eines Vorfalls permanent durch eigene Tests und aktiver Überwachung minimieren.
	Neben einem effektiven und effizienten Benutzermanagementprozess und entsprechendem System gibt es einen einfach zu verwendenden Prozess, Benutzer zu authentifizieren, der leicht zu implementieren ist und vertretbare Kosten verursacht.

Kontrollziele der Systemsicherheit

	Identifikation, Authentisierung und Zugriff
	Sicherheit des Direktzugriffs auf Daten
	Verwaltung der Benutzerkonten
	Überprüfung der Benutzerkonten durch das Management
	Überprüfung der Benutzerkonten durch die Benutzer
	Sicherheitsüberwachung
	Datenklassifikation
	Zentrale Verwaltung von Identifikation und Zugriffsrechten
	Rapportierung von Verstößen und Sicherheitsaktivitäten
	Umgang mit Zwischenfällen
	Re-Akkreditierung
	Vertrauenswürdigkeit der Gegenpartei
	Genehmigung von Transaktionen
	Nicht-Abstreitbarkeit
	Vertrauenswürdiger Pfad
	Schutz von Sicherheitsfunktionen
	Verwaltung kryptographischer Schlüssel
	Prävention, Aufdeckung und Korrektur bei bösartiger Software
	Firewall-Architekturen und Verbindungen mit öffentlichen Netzwerken
	Schutz von elektronischen Werten

CobiT - Systemsicherheit durch PKI